关键信息 漏洞概述 漏洞名称: Sandbox Bypass via JavaType-Based Deserialization 严重性: Critical (CVSS v3.1: 9.8/10) CVE ID: CVE-2025-59340 CWE: CWE-1336 影响范围 受影响版本: < 2.8.1 修复版本: 2.8.1 包: com.hubspot.jinjava:jinjava (Maven) 漏洞描述 摘要: Jinjava 当前的沙箱限制阻止了对危险方法(如 getClass())的直接访问,并阻止了 Class 对象的实例化。然而,这些保护可以被绕过。 细节: - Jinjava 模板暴露了一个内置变量 ,提供了对 JinjavaInterpreter 实例的直接访问。 - 通过与 JinjavaInterpreter 实例的属性交互,可以遍历到 字段,该字段暴露了一个 ObjectMapper。 - 利用 方法,攻击者可以实例化任意类,包括通过 JavaType 指定的类。 - 尽管 Jinjava 明确限制了危险类(如 Class、ClassLoader 等),但在 JinjavaBeanELResolver 中,JavaType 类本身不受限制。 影响 后果: 攻击者可以绕过沙箱并实例化广泛的类,使用 JavaType。这可能导致读取任意文件和执行 SSRF。在某些环境中,这甚至可能导致远程代码执行(RCE)。